中国信托商业银行副总暨资安长吴佑文首度公开自家的资安韧性对策。
「资安韧性,是让敌人攻不破。即使攻破也打不穿,打穿也可以立即复原。」中国信托银行资安长吴佑文在今年台湾资安大会上表示,他们过去几年在建立资安韧性上投入许多心力,而在金融资安论坛中,中信银首次对外公开自家的资安韧性对策,包括建立纵深防御工程、落实穿透(walk through testing)测试、确认资安作业有效性等策略。
企业即便做好基本的资安措施,仍需要面对防护面必定有缺口的事实,「这是我们第一个会面临的挑战。」吴佑文说道。面对这项挑战,中信银的策略是建立纵深防御工程,根据MITRE ATT&CK TTP手法来设置防御对策。例如,针对社交工程攻击,设置电子邮件的资安机制。
不过,即便设置了纵深防御工程,这些机制还是有极大机率不如预期般发挥功效。吴佑文透露,他们内部设置的防御机制,几乎每一项都曾被侦测到程度不一的有效性问题,甚至有完全失效的状况。「这就是我们面临的第二个挑战。」他说。
针对第二项挑战,中信银的对策是落实穿透测试,验证每项资安控制措施的有效性。例如,针对档案监控机制,中信银的测试方法是放置无关档案至受测伺服器,并预期系统侦测到异常档案时需告警,且相关人员得在时效内处理问题。
中信银第三项资安韧性对策,是确认资安作业有效性。「必须盘点关键资安作业,设计如何验证作业有效性。」吴佑文说明,他们的作法有三步骤,第一步是盘点关键资安作业,依据作业重要性及验证可行性等条件,来排序优先验证项目。再来是分析资安控制的有效性要件,最后则是设计有效性的验证机制,并设计监控KPI,每月定期追踪,确保资安作业被落实。
以对外系统弱点扫描作业为例,有效性要件包括扫描范围完整性、弱点特征码正确更新,弱点扫描设定妥适、弱点扫瞄作业正常完成,接著再针对每一项要件设定检核做法,并设计KPI指标。
吴佑文表示,这些措施完成后,可因应约99%的攻击事件,但仍有1%的极端情境无法靠既有控制措施防范。「金融零信任指引会是我们的救生符,可以应付未知的攻击手法。」他说,面对极端情境网攻,除了根据零信任指引来应对,也需规画极端情境应变计划。「只有做到这个程度,才能实现所谓的金融韧性。」